Un exploit de faille RCE publié par Fortinet

4.4/5 - (7 votes)

Fortinet publie un exploit sur une faille critique RCE.

Un exploit vient d’être diffusé par Fortinet concernant une faille d’exécution de code à distance (RCE) utilisée activement dans des attaques. Des chercheurs en sécurité ont publié un exploit de validation de principe (PoC) pour une vulnérabilité critique du logiciel FortiClient Enterprise Management Server (EMS) de Fortinet, qui est désormais activement exploitée dans des attaques. Cette faille de sécurité est une injection SQL dans le composant DB2 Administration Server (DAS) découverte et signalée par le National Cyber ​​Security Center (NCSC) du Royaume-Uni.

CVE-2023-48788: Une neutralisation inappropriée des éléments spéciaux utilisés dans une commande SQL (« injection SQL ») dans Fortinet FortiClientEMS versions 7.2.0 à 7.2.2, FortiClientEMS 7.0.1 à 7.0.10 permet à un attaquant d’exécuter du code ou des commandes non autorisés via des paquets spécialement conçus.

CWE donne une déscription étendue de la faille CVE-2023-48788. Sans suppression ou citation suffisante de la syntaxe SQL dans les entrées contrôlables par l’utilisateur, la requête SQL générée peut entraîner l’interprétation de ces entrées comme du SQL au lieu de données utilisateur ordinaires. Cela peut être utilisé pour modifier la logique de requête afin de contourner les contrôles de sécurité ou pour insérer des instructions supplémentaires qui modifient la base de données principale, y compris éventuellement l’exécution de commandes système. L’injection SQL est devenue un problème courant avec les sites Web basés sur des bases de données…


L'exécution de code à distance (RCE) est une cyberattaque par laquelle un attaquant peut exécuter à distance des commandes sur l'appareil informatique de quelqu'un d'autre. Les exécutions de code à distance (RCE) se produisent généralement en raison de logiciels malveillants téléchargés par l'hôte et peuvent se produire quel que soit l'emplacement géographique de l'appareil. L'exécution de code à distance (RCE) est également appelée évaluation de code à distance.


SQL est un langage informatique créé en 1974  et normalisé servant à exploiter des bases de données relationnelles. La partie langage de manipulation des données de SQL permet de rechercher, d'ajouter, de modifier ou de supprimer des données dans les bases de données relationnelles. Outre le langage de manipulation des données, le langage de définition des données permet de créer et de modifier l'organisation des données dans la base de données. Ce langage est  utilisé par un nombre très important d'applications et d'organisations.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


La politique de sécurité informatique, essentielle à l'ère numérique, vise à protéger les systèmes, réseaux et données contre les menaces en ligne. Elle établit des directives pour gérer les risques, mettre en place des mesures de prévention et de détection des intrusions, ainsi que des protocoles de réponse en cas d'incidents. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

En promouvant la sensibilisation, la formation et la conformité aux normes de sécurité, une politique efficace renforce la résilience des organisations face aux cyberattaques, garantissant la confidentialité, l'intégrité et la disponibilité des informations cruciales.


Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut